Ha bisogno di assistenza? Chieda alla community oppure consulti un esperto.
Vai ad Avira Answers
Nome del virus:Worm/IrcBot.43520.3
Scoperto:29/05/2007
Tipo:Worm
In circolazione (ITW):Si
Numero delle infezioni segnalate:Medio-Basso
Potenziale di propagazione:Basso
Potenziale di danni:Medio
File statico:Si
Dimensione del file:43.520 Byte
Somma di controllo MD5:7e4264605e386817a08b4efa0a2fd327
Versione IVDF:6.38.01.198 - martedì 29 maggio 2007

 Generale Alias:
   •  Mcafee: W32/Spybot.worm
   •  Panda: W32/Gaobot.OXI.worm
   •  Eset: Win32/Lethic.AA
   •  Bitdefender: Backdoor.Bot.118291


Piattaforme / Sistemi operativi:
   • Windows 2000
   • Windows XP
   • Windows 2003


Effetti secondari:
   • Duplica file maligni
   • Modifica del registro

 File Si copia alla seguente posizione:
   • \%CLSID%\budau44.exe



Viene creato il seguente file:

\%CLSID%\Desktop.ini

 Registro Le seguenti chiavi di registro vengono aggiunte per eseguire i processi dopo il riavvio:

[HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
   • "Taskman"="\%CLSID%\budau44.exe"

[HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
   • "puda4"="\%CLSID%\budau44.exe"

[HKCU\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
   • "Shell"="explorer.exe,\%CLSID%\budau44.exe"

 Backdoor Viene aperta la seguente porta:

buda.pes**********.biz sulla porta TCP 8800

 Come il virus si inserisce nei processi Si inserisce come thread remoto in un processo.

    Nome del processo:
   • explorer.exe


 Dettagli del file Software di compressione:
Per complicarne l'individuazione e ridurre la dimensione del file, viene compresso con un software di compressione.

Descrizione inserita da Petre Galan su giovedì 27 maggio 2010
Descrizione aggiornata da Petre Galan su giovedì 27 maggio 2010

Indietro . . . .
https:// Questa finestra è criptata per tua sicurezza.